17 Billion Personal Records Exposed in Data Breaches in 2023
2024/03/28 InfoSecurity — Flashpoint の最新レポート 2024 Global Threat Intelligence Report によると、2023年に報告されたデータ漏えい事件は 34.5%増加し、年間を通じて漏えいした個人情報は、170億件以上にものぼるという。Flashpoint は、氏名/社会保障番号/財務データなどの機密情報を含む、2023年に公に報告された 6077 件のデータ漏えいを調査した。これらのインシデントの 70%以上が、被害を受けた組織に対する外部からの不正アクセスに起因するものだったという。
また研究者たちは、2024年の最初の2ヶ月間に窃取流出した個人データが、前年同期比で 429%も急増し、1897億件の個人記録や認証情報が漏えいしたことを確認した。
2023年の世界的なデータ漏えいの大部分 (60%) を占めたのは米国であり、3804件のインシデントが報告された。これは、2022年と比較して 19.8%の増加である。
データ侵害急増の主な要因はランサムウェア攻撃
このデータ漏えい急増の主な原因はランサムウェア攻撃であり、Flashpoint は 2023年に文書化されたインシデントが 84%も増加したと強調している。
さらに、2024年の1月〜2月にかけて公開されたランサムウェア攻撃の数は、2023年の同時期と比較して約 23%増加しており、637件に達している。
2023年の LockBit グループの被害者は 1049社にのぼり、2023年の既知のランサムウェア攻撃の 20%以上を占めたという。
この多発するランサムウェア攻撃者のインフラは、2024年2月の “Operation Cronos“ により、つまり、世界的な法執行機関の活動によりテイクダウンされた。
また研究者たちは、2023年5月に出現した MOVEit Transfer の脆弱性を悪用した Clop ランサムウェア・グループが、データ侵害の状況に深刻な影響を与えたと指摘している。
MOVEit 攻撃は、報告された 2023年のデータ漏えいの 19.3%を占めている。この数字には、サプライチェーン上のサードパーティ経由で、データを盗まれた組織も含まれている。
2023年のランサムウェア攻撃において、最も狙われたセクターは建設・エンジニアリング (18.7%) であり、インシデントの発生件数は416件だった。それに続くのが、プロフェッショナル・サービス (13.7%) /インターネット・ソフトウェアおよびサービス (13.2%) /ヘルスケア・プロバイダーおよびサービス (12.29%) である。
全体では、ランサムウェアと不正アクセスが、公表されたデータ漏えいの 85%を占めていた。
脆弱性の公開と悪用は過去最高を記録
Flashpoint のレポートによると、2023年に公開された脆弱性は 33,137件に達し、過去最高を記録したという。
そのうちの半数以上 (52%) が、CVSS (Common Vulnerability Scoring System) の深刻度で ”High” から “Critical” (7.0~10.0) のスコアを記録している。これらの脆弱性は、ランサムウェアなどの攻撃において重要な侵入経路となっている。
Flashpoint の研究者たちによると、CVE (Common Vulnerabilities and Exposures) に登録されなかった脆弱性が 100,000 件以上に達しており、その多くが Google や Microsoft といった、大手企業に影響を及ぼしているという。
したがって、CVE に依存している組織おいては、既知の脆弱性リスクの3分の1近くを知らない可能性が高いと推定される。
170億件の情報漏洩というと、世界の人口の約3倍に相当する件数になります。まぁ、それだけのアカウントを、世界中の人々が持っているわけで、そう考えると妥当な数であるとも、思えてきてしまいます。それと、文中の末尾にある未登録の 100,000件の脆弱性ですが、レポートには ”missing over 100,000 vulnerabilities—nearly a third of known vulnerability risk” と記されているので、おそらく累計を指しているのだろうと思います。よろしければ、カテゴリ Statistics も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.